SpecterBroker
レッドチーム操作とセキュリティ研究向けの高度なWindows認証トークン抽出・復号化ツール。
SpecterBroker は、複数のソースからWindows認証トークンを抽出・復号化するために設計された包括的なポスト悪用ツールです。Windows認証マネージャー(WAM)、トークンブローカーキャッシュ(TBRes)、および関連する認証サブシステムをターゲットにして、アクセストークン、リフレッシュトークン、IDトークン、NGC(次世代認証情報)トークンを取得します。このツールはSpecterPortalツールにインポート可能で、EntraID環境とAzureリソースを完全に管理できるJSONファイルを生成します!
このツールは特に以下のために設計されています:
- レッドチーム操作:認可されたペネトレーションテスト中のトークン抽出
- セキュリティ研究:Windowsの認証メカニズムの理解
- DFIR分析:認証アーティファクトのフォレンジック調査
- 教育目的:Windowsのクレデンシャルストレージの学習
何が特別なのか?
- 統一された抽出:複数のトークン抽出技術を単一のツールで組み合わせ
- DPAPI復号化:Windows DPAPIを使用した保護されたトークンキャッシュの自動復号化
- 複数フォーマット:TBResとWAMキャッシュフォーマットの両方をサポート
- FOCI検出:ファミリーオブクライアントID(FOCI)対応トークンを識別
- メタデータ抽出:UPN、テナントID、クライアントID、スコープ、有効期限データを取得
- Officeマスタートークン:高価値なOffice 365マスタートークンを検出
機能
コア機能
- TBResキャッシュ抽出 – TokenBrokerキャッシュから
.tbresファイルを復号化 - WAMキャッシュ抽出 – AAD BrokerPluginのキャッシュされた認証データを処理
- DPAPI復号化 – トークンの自動復号化にWindows DPAPIを活用
- JWTパース – JSONウェブトークン(アクセス&IDトークン)を抽出・パース
- リフレッシュトークン抽出 – Microsoft v1リフレッシュトークン(1.AV0A形式)を取得
- NGCトークンサポート – 次世代認証情報トークンを抽出
- FOCI検出 – ファミリーオブクライアントID対応アプリケーションを識別
- メタデータ充実 – UPN、テナントID、クライアントID、スコープ、有効期限を抽出
高度な機能
- 自動重複排除 – キャッシュファイル間の知的なトークン重複排除
- SpecterPortal互換のJson出力 – SpecterPortalツールにインポート可能なJSONファイル
- 有効期限フィルタリング – 有効期限切れのアクセストークンを自動スキップ
- Officeマスター検出 – 高価値なOffice 365マスタートークンにフラグを立てる
- 再帰的処理 – キャッシュディレクトリ構造全体をスキャン
- ローカルユーザースコープ – 現在のユーザーコンテキストで動作(昇格不要)
ダウンロード&使用方法
ソース: meterpreter.org
